El 4 de noviembre, una colaboración entre la Universidad de Michigan y la Universidad de Comunicación Electrónica de Japón nos dejó un ‘paper‘ cuanto menos interesante sobre la seguridad de los asistentes virtuales que nos ofrecen las grandes marcas actuales (particularmente en los altavoces inteligentes). Cabe destacar que uno de los investigadores es Daniel Genkin, que ya estuvo involucrado en el descubrimientos de las vulnerabilidades Meltdown y Spectre.
¿Cómo se vulnera la seguridad de los altavoces inteligentes?
La cuestión es que los tres asistentes virtuales por excelencia están incluidos en los altavoces inteligentes de sus respectivas compañías. Por un lado tenemos al HomePod, con Siri; por otro al Amazon Echo, equipado con Alexa; y finalmente tenemos al Google Home, que viene con Google Assistant. La vulnerabilidad que han encontrado los investigadores afecta a estos dispositivos de una forma un poco extraña y que os detallamos a continuación.
Un láser directo es suficiente
Solamente es necesario un láser que llegue directamente al dispositivo, pero no a cualquier parte, tiene que estar directamente enfocado al micrófono. Todos estos dispositivos están dotados de micrófonos con sistemas microelectromecánicos (MEMS), que son los que permiten esta vulnerabilidad.
El motivo es que hay una pieza llamada diafragma que se mueve con el sonido, y este movimiento puede ser replicado utilizando la luz. Es decir, estos sistemas son capaces de entender modulaciones en la luz como si de audio se tratase, de ahí que los investigadores hayan denominado a esta forma de interactuar con los dispositivos «Light Commands». Tampoco es demasiado rebuscado el nombre.
Las limitaciones del método de interacción son básicamente dos. Primero, que el láser debe estar enfocado directamente al sistema. Y segundo, que la precisión necesaria para orientarlo perfectamente al micrófono no es fácil de conseguir sin invertir bastante tiempo en un escenario real.
Simulaciones reales de ataque
En general, cualquier dispositivo cuyo micrófono incorpore MEMS (incluidos smartphone y tablets) debería ser vulnerable a este tipo de de ataque. La cuestión es que acceder al micrófono de un smartphone no es una tarea particularmente sencilla en términos de precisión, mientras que los altavoces inteligentes pueden ser un objetivo más plausible.
Es por ello que los investigadores han llevado a cabo varios experimentos demostrando que son capaces de abrir puertas de garajes, hacer compras, encender/apagar luces e incluso poner en marcha vehículos. A continuación os dejamos tres ejemplos distintos (hechos con Google Home) en los que los investigadores han utilizado el sistema a través de una ventana desde otro edificio, a 110 metros de distancia y con un láser infrarrojo invisible al ojo humano.
Los investigadores ya están en contacto con Apple, Amazon y Google para solucionar estos problemas de seguridad, pero lo que concluyen es que es altamente probable que los micrófonos actuales necesiten un rediseño para evitar este tipo de problemas.
En conclusión, la seguridad de la smart home que tenemos actualmente se ha puesto bastante en entredicho. Si alguno de vosotros tiene algún altavoz inteligente, no se lo digáis a nadie y no los dejéis muy expuestos. Esperamos que os haya gustado el artículo, y si queréis saber más podéis ir al paper original y a los vídeos.